NIS2-opas · 7 min
Toimittajan esiintyminen ja toimitusjohtajahuijaus (BEC): sähköpostin väärentäminen, DMARC ja NIS2
Yksi yleisimmistä toimitusketjuhyökkäyksistä ei vaadi murtoa lainkaan: hyökkääjä lähettää sähköpostia, joka näyttää tulevan toimittajalta (tai sinulta), ja ohjaa maksun toisaalle tai varastaa dataa. Tämä on toimitusjohtajahuijaus (BEC) ja toimittajan esiintyminen, jonka mahdollistaa heikko sähköpostin autentikointi, jonka kuka tahansa voi tarkistaa ulkoa. NIS2:ssa olet vastuussa toimittajasuhteidesi turvallisuudesta (artikla 21(2)(d)), ja sähköpostin väärennettävyys on yksi selkeimmistä ja halvimmista korjattavista signaaleista. Tämä opas selittää, miten hyökkäys toimii, mitkä SPF-, DKIM- ja DMARC-asetukset sen estävät ja miten se kytkeytyy NIS2:een.
Keskeiset opit
- • BEC ja toimittajan esiintyminen hyödyntävät heikkoa sähköpostin autentikointia, eivät teknistä murtoa.
- • SPF, DKIM ja pakotettu DMARC-käytäntö estävät väärennetyn postin, ja ne ovat julkisesti tarkistettavissa.
- • NIS2:ssa tämä on osa toimittajasuhteen turvallisuutta, ja se suojaa sekä sinua että toimittajiasi.
Miten toimittajan esiintyminen ja BEC toimivat
Hyökkääjän ei tarvitse murtautua mihinkään. Jos domain ei pakota sähköpostin autentikointia, hän voi lähettää postia, joka näyttää tulevan siitä: väärennetty lasku uusilla tilitiedoilla 'toimittajaltasi' tai kiireellinen pyyntö 'toimitusjohtajaltasi'. Vastaanottaja luottaa tuttuun lähettäjään ja toimii. Koska toimittajat ja asiakkaat lähettävät toisilleen postia jatkuvasti, yksi heikko domain ketjussa on kaikkien ongelma. NIS2:n artikla 21(2)(d) tekee tämän suhderiskin hallinnasta sinun vastuutasi.
Virallinen lähde: NIS2-direktiivi EUR-Lexissä — artikla 21(2) (turvatoimet, ml. suojattu viestintä) ja 21(2)(d) (toimitusketjun turvallisuus).
Kontrollit, jotka estävät väärentämisen
Nämä ovat vakioita, ilmaisia ottaa käyttöön DNS:ssä ja julkisesti todennettavissa. Ne vastaavat artiklan 21(2) suojatun viestinnän perustasoa ja sitä, miten hyökkäys todella toimii.
SPF (Sender Policy Framework)
Julkaisee, mitkä palvelimet saavat lähettää postia domainisi puolesta. Ilman sitä, tai liian sallivalla tietueella, väärennetyt lähettäjät menevät läpi tarkistamatta. Julkaise SPF ja pidä se ajan tasalla, kun lisäät postipalveluita.
DKIM (DomainKeys Identified Mail)
Allekirjoittaa lähtevän postisi kryptografisesti, jotta vastaanottajat voivat varmistaa, ettei sitä ole muutettu ja että se todella tuli domainiltasi. Ota DKIM käyttöön jokaisessa palvelussa, joka lähettää nimissäsi.
DMARC pakotetulla käytännöllä
Sitoo SPF:n ja DKIM:n näkyvään From-osoitteeseesi ja kertoo vastaanottajille, mitä tehdä epäonnistuvalle postille. Käytäntö p=none vain valvoo; siirry p=quarantine- tai p=reject-tasolle estääksesi väärentämisen oikeasti.
DMARC-raportit (rua) ja seuranta
Koosteraportit näyttävät, kuka lähettää domainisi nimissä, joten löydät lailliset lähettäjäsi ennen pakottamista ja huomaat väärinkäytön jälkeenpäin. Ohjaa raportit paikkaan, jota luetaan.
MTA-STS ja TLS-raportointi (lisäkovennus)
Pakota salattu toimitus domainiisi ja saat tiedon, kun se epäonnistuu, sulkien alasajoreitin, jota hyökkääjä voisi muuten käyttää postin sieppaamiseen.
Katso, miten toimittajasi todella pärjäävät
7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain
Miksi tällä on väliä NIS2:ssa, sinulle ja toimittajillesi
Pakotettu sähköpostin autentikointi suojaa asiakkaitasi ja kumppaneitasi huijaukselta nimissäsi ja suojaa sinua toimittajan väärennetyltä laskulta. Koska se on ulkoisesti näkyvää, se on juuri sellainen signaali, jonka asiakas tarkistaa arvioidessaan sinua toimittajana NIS2:n alla, ja jonka hyökkääjä luotaa ensimmäisenä. Jatkuva oman domainisi ja toimittajiesi seuranta nostaa esiin heikon tai heikkenevän DMARC-käytännön (esimerkiksi yhä p=none) ja kytkee sen artiklan 21(2)(d) toimitusketjuvelvoitteeseen, jotta se korjataan ennen hyväksikäyttöä.
Yleisiä virheitä
- ✕DMARC julkaistaan tasolla p=none eikä koskaan siirrytä pakottamiseen, joten mitään ei oikeasti estetä.
- ✕SPF tai DKIM päädomainilla mutta ei aliverkkotunnuksilla tai kolmannen osapuolen lähetyspalveluissa.
- ✕Oletetaan toimittajan laskusähköposti aidoksi, koska lähettäjän nimi näyttää oikealta.
- ✕Ei prosessia, jolla maksu tai tilitietojen muutos varmistetaan erillistä kanavaa pitkin.
Sinun ei tarvitse lukea raportteja itse
DMARC-koontiraportit ovat päivittäisiä XML-tiedostoja, eikä kukaan halua lukea niitä käsin. norppa.io vastaanottaa ne puolestasi yksilölliseen raportointiosoitteeseen, muuntaa ne läpäisyasteanalytiikaksi ja lähettäjäinventaarioksi ja nostaa aktiiviset väärennyslähteet priorisoiduiksi löydöksiksi. TLS-RPT-raportit käsitellään samalla tavalla. EU:ssa isännöity, vain aggregaattidataa, sisältyy jokaiseen pakettiin.
Katso miten sähköpostiasentosi kytkeytyy NIS2:een
Esimerkki toimittajaraportista (löydökset, NIS2-kytkentä ja näyttö) kahdessa minuutissa.
7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain
Aiheeseen liittyvät oppaat
Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma
NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.
Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat
Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.
NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on
Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.
NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä
NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.
Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa
Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.
NIS2 Art. 21(2): tarkistuslista toimittajille
Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.
NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli
Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.
NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä
Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.
NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä
Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.
ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata
Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.
NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne
Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.
NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua
Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.
GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat
Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.
EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi
Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.
EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)
Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.
NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa
Mitkä 27 EU-jäsenvaltiosta ovat kirjanneet NIS2:n kansalliseen lakiin ja mitkä yhä viimeistelevät, ja miksi erot tavoittavat toimitusketjusi joka tapauksessa.
NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi
Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.
Ulkoinen tietoturva-asentosi NIS2:ssa: mitä toimittajat ja asiakkaat näkevät
Julkisesti näkyvät signaalit, joita asiakkaat arvioivat NIS2 art. 21(2)(d):n nojalla: sähköpostin väärennettävyys (SPF/DMARC), sertifikaattien kunto, internetiin altistuneet järjestelmät ja vuotaneet tunnukset, miksi kukin on tärkeä ja miten ne tarkistetaan ja korjataan.
Käyttävätkö toimittajasi tekoälyä? NIS2:n toimittajariski ja EU:n tekoälyasetus
Toimittajat upottavat yhä useammin tekoälyä palveluihin, joista olet riippuvainen, ja niin tekevät heidän toimittajansa. Missä toimittajan ja nth-party-tekoäly luo riskiä NIS2 art. 21(2)(d):n ja EU:n tekoälyasetuksen kannalta, mitä arvioida ja miten säilyttää näkyvyys.
Viimeksi tarkistettu: 19. kesäkuuta 2026
Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.